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PROCEDE D'APPARIEMENT D'UN TERMINAL RECEPTEUR AVEC UNE 
PLURALITE DE CARTES DE CONTROLE D'ACCES 
DESCRIPTION 

DOMAINE TECHNIQUE 

L' invention se situe dans le domaine de la 
securisation de donnees numeriques diffusees et des 
equipements recepteurs destines a recevoir ces donnees 
dans un reseau de distribution de donnees et/ou 
services et se rapporte plus specif iquement a un 
procede d' appariement d'un equipement recepteur de 
donnees numeriques avec une pluralite de modules 
externes de securite ayant chacun un identifiant 
unique . 

ETAT DE LA TECHNIQUE ANTERIEURE 

De plus en plus d'operateurs off rent des 
donnees et services en ligne accessibles au moyen de 
terminaux munis de processeurs de securite. 
Generalement, les donnees et services distribues sont 
embrouilles a 1' emission par des cles secretes et 
desembrouilles a la reception par les memes cles 
secretes prealablement mises a la disposition de 
1' abonne . 

Outre les techniques classiques de controle 
d'acces basees sur 1' embrouillage a 1' emission et le 
desembrouillage a la reception des donnees distributes, 
les operateurs proposent des techniques basees sur 
1' appariement du terminal de reception avec un 
processeur de securite pour eviter que les donnees et 
services distribues ne soient accessibles a des 
utilisateurs muni d' un terminal vole ou d'un processeur 
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de securite pirate tel que par exemple une carte a puce 
falsif iee . 

Le document WO 99/57901 decrit un mecanisme 
d' appariement entre un recepteur et un module de 
securite base, d' une part, sur le chiffrement et le 
dechiffrement des informations echangees entre le 
recepteur et le module de securite par une cle unique 
stockee dans le recepteur ou dans le module de 
securite, et d' autre part, sur la presence d'un numero 
de recepteur dans le module de securite. 

Un inconvenient de cette technique provient 
du fait que 1' association entre un recepteur et un 
module de securite qui lui est apparie est etablie a 
priori, et qu'elle ne permet pas a l'operateur de gerer 
efficacement son pare d' equipements recepteurs afin 
d'empecher le detournement de cet equipement pour des 
utilisations f rauduleuses . 

Un but du precede d' appariement selon 
1' invention est de permettre a chaque operateur de 
limiter les utilisations de son pare de materiel de 
reception en configurant et en controlant dynamiquement 
1 » appariement de 1' equipement recepteur et des modules 
externes de securite destines a cooperer avec cet 
equipement . 

EXPOSE DE 1/ INVENTION 

L' invention preconise un procede 

d' appariement d'un equipement recepteur de donnees 
numeriques avec une pluralite de modules externes de 
securite ayant chacun un identifiant unique. 
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Le procede selon l r invention comporte les 
etapes suivantes : 

- connecter un module externe de securite a 
1 ' equipement recepteur, 

- memorise r a la volee dans 1' equipement 
recepteur 1' identif iant unique du module de securite 
connecte . 

Ce procede comporte une phase de controle 
consistant a verifier, a chaque connexion ulterieure 
d'un module externe de securite a 1' equipement 
recepteur, si 1' identif iant dudit module est memorise 
dans cet equipement recepteur. 

A cet effet, le procede selon l r invention 
comporte en outre une etape consistant a transmettre a 
l r equipement recepteur une signalisation comportant au 
moins un message de gestion de la memorisation de 
I 7 identif iant du module externe de securite et/ou un 
message de gestion de la phase de controle. 

Ladite signalisation comporte au moins une 
des consignes suivantes : 

- autoriser la memorisation, 

- interdire la memorisation, 

- effacer les identifiants deja memorises 
dans 1' equipement recepteur, 

activer ou desactiver la phase de 

controle . 

Dans une premiere variante de mise en ceuvre 
du procede, la signalisation comporte le nombre maximal 
d' identifiants dont la memorisation est autorisee . 

Dans une deuxieme variante de mise en ceuvre 
du procede, ladite signalisation comporte une consigne 
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de reconfiguration par laquelle on transmet a 
1' equipement recepteur une liste mise a jour des 
identifiants des modules externes de securite apparies 
avec ledit equipement recepteur. 

Ladite liste est transmise soit directement 
a 1' equipement recepteur, soit via un module externe de 
securite. connecte audit equipement recepteur, 

Preferentiellement, ladite phase de 
controle comporte une procedure consistant a perturber 
le traitement des donnees si 1 ' identif iant du module 
externe de securite connecte n'est pas prealablement 
memorise dans 1 ' equipement recepteur. 

Le precede selon l r invention s' applique 
lorsque les donnees sent distributes en clair et 
egalement lorsque ces donnees sont distributes sous 
forme embrouillee par un mot de controle chiffre. Dans 
ce dernier cas, chaque module externe de securite 
comporte des droits faeces auxdites donnees et un 
algorithme de dechif f rement dudit mot de controle pour 
desembrouiller les donnees. 

La signalisation de controle est transmise 
dans un message EMM (Entitlement Management Message, en 
anglais) specifique a un module externe de securite 
associe a cet equipement recepteur ou dans un message 
EMM specifique a cet equipement recepteur, et pour un 
equipement recepteur donne, la liste mise a jour des 
identifiants des modules externes de securite apparies 
avec cet equipement recepteur est egalement transmise 
dans un message EMM specifique a un module de securite 
associe a cet equipement recepteur. 
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Alternativement, ladite signalisation est 
transmise dans un flux prive a un groupe d r equipements 
recepteurs, et la liste mise a jour des identifiants 
des modules externes est egalernent transmise dans un 
flux prive a chaque equipement ' recepteur. Dans ce 
dernier cas, ledit flux prive est traite par un 
logiciel dedie executable dans chaque equipement 
recepteur en fonction de 1' identif iant du module 
externe de securite qui lui est associe. 

Dans une autre variante, la signalisation 
est transmise a un groupe d' equipements recepteurs dans 
un message EMM specif ique a un groupe de modules 
externes de securite associes auxdits equipements 
recepteurs ou dans un message EMM specif ique audit 
groupe d' equipements recepteurs, et pour un groupe 
d' equipements recepteurs donne, la liste mise a jour 
des identifiants des modules externes est transmise 
dans un message EMM specif ique a un groupe de modules 
externes de securite associes auxdits equipements 
recepteurs . 

Par ailleurs, pour un groupe d' equipements 
recepteurs donne, la signalisation de controle et la 
liste mise a jour peuvent egalernent etre transmise s a 
un groupe d' equipements dans un flux prive . 

Dans ce cas, 1 edit flux prive est traite 
par un logiciel dedie executable dans chaque equipement 
recepteur en fonction de 1' identif iant du module 
externe de securite qui lui est associe. 

Lorsque la transmission de la signalisation 
et des listes mises a jour est effectuee par des EMM, 
le procede comport e un mecanisme destine a empecher 
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1' utilisation d'un EMM transmis a un me me module de 
securite dans deux equipements recepteurs distincts, 

Les EMM specifiques a un module de securite 
ou a un equipement recepteur presentent le format 
suivant : 

EMM-U_section { ) { 

table_id = 0x88 8 bits 

section_syntax__indicator =0 1 bit 
DVB_re served 1 bit 

ISO__reserved 2 bits 

EMM-U_section_length 12 bits 

unique__adress__f ield 40 bits 

for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

} 

Les EMM specifiques a tous les modules 
externes de securite ou a tous les equipements 
recepteurs presentent le format suivant : 

EMM-G_section ( ) { 

table___id = 0x8A ou 0x8B 8 bits 
section_syntax_indicator =0 1 bit 

DVB_jreserved 1 bit 

ISO__reserved 2 bits 

EMM-G_section_length 12 bits 
for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

} 

Les EMM specifiques a un sous-groupe de 

modules externes de securite ou a un sous-groupe 
d' equipements recepteurs presentent le format suivant : 
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EMM~S__section () { 

table_id - 0x8E 8 bits 

section_syntax_indicator =0 1 bit 
DVB_reserved 1 bit 

ISO_reserved 2 bits 

EMM-S_section_length 12 bits 

shared_address__f ield 24 bits 

reserved 6 bits 

data__f orrnat 1 bit 

ADF_scrambling_f lag 1 bit 

for (i=0; i<N; i++) { 

EMM__data__byte 8 bits 

} 

} 

Selon une caracteristique supplementaire, 
les identifiants de modules de securite sont groupes 
dans une liste chiffree. 

Le precede petit etre utilise dans une 
premiere architecture dans laquelle 1'equipement 
recepteur comporte un decodeur et le module de securite 
comporte une carte de controle d' acces dans laquelle 
sont memorisees des informations relatives aux droits 
d' acces d'un abonne a des donnees numeriques 
distributes par un operateur. 

Dans cette architecture, l'appariement est 
effectue entre le decodeur et la carte de controle 
d 1 acces . 

Le procede peut etre utilise dans une 
deux i erne architecture dans laquelle 1' equipement 
recepteur comporte un decodeur et le module de securite 
comporte une interface de securite amovible munie d'une 
memo ire non volatile et destinee a cooperer, d'une 
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part, avec le decodeur, et d' autre part, avec une 
pluralite de cartes de controle d'acces conditionnel 
pour gerer l'acces a des donnees numeriques distributes 
par un operateur. 

Dans cette architecture, 1' appariement est 
effectue entre ledit decodeur et ladite interface de 
securite arnovible . 

Le procede peut etre utilise dans une 
troisieme architecture dans laquelle 1 r equipement 
recepteur comporte un decodeur muni d'une interface de 
securite arnovible ayant une memoire non volatile et 
destinee a cooperer, d'une part, avec ledit decodeur, 
et d f autre part, avec une pluralite de cartes de 
controle d'acces conditionnel. 

Dans cette architecture, 1' a ppariement est 
realise entre ladite interface de securite arnovible et 
lesdites cartes de controle d'acces. 

Dans une application particuliere du 
procede selon 1' invention, les donnees sont des 
programmes audiovisuels . 

Le procede selon 1' invention est mis en 
ceuvre dans un systeme comportant une pluralite 
d' equipements recepteurs connectes a un reseau de 
diffusion de donnees et/ou services, chaque equipement 
recepteur etant susceptible d'etre apparie avec une 
pluralite de modules externes de securite, ce systeme 
comportant egalement une plateforme de gestion 
commerciale communiquant avec lesdits equipements 
recepteurs et avec lesdits modules externes de 
securite. Ce systeme comporte en outre : 
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- un premier module agence dans ladite 
plate-forme de gestion commerciale et destine a generer 
des requetes d 1 appariement , 

- et un deuxieme module agence dans lesdits 
equipements recepteurs et destine a traiter lesdites 
requetes pour preparer une configuration de 
1 T appariement et pour controler cet appariement. 

1/ invention concerne egalement un 

equipement recepteur susceptible d'etre apparie avec 
une pluralite de modules externes de securite pour 
gerer l'acces a des donnees numeriques distributes par 
un operateur. 

Selon 1' invention, cet equipement comporte 
des moyens pour memoriser a la volee l r identif iant de 
chaque module externe de securite qui lui est connecte. 

Dans un premier mode de realisation, 
1' equipement recepteur comporte un decodeur et le 
module externe de securite est une carte de controle 
d'acces comportant des informations relatives aux 
droits d'acces d'un abonne auxdites donnees numeriques, 
1' appariement etant effectue entre ledit decodeur et 
ladite carte. 

Dans un deuxieme mode de realisation, 
1' equipement comporte un decodeur et le module externe 
de securite est une interface de securite amovible 
munie d'une memoire non volatile et destinee a 
cooperer, d'une part, avec ledit decodeur, et d r autre 
part, avec une pluralite de cartes de controle d'acces 
conditionnel, pour gerer l'acces auxdites donnees 
numeriques, 1' appariement etant effectue entre ledit 
decodeur et ladite interface de securite amovible. 
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Dans un troisieme mode de realisation, 
Fequipement comporte un decodeur muni d'une interface 
de securite amovible ayant une memoire non volatile et 
destinee a cooperer, d'une part, avec ledit decodeur, 
et d' autre part, avec une pluralite de cartes de 
controle d r acces conditionnel et 1' appariement est 
realise entre ladite interface de securite amovible et 
lesdites cartes de controle d'acces. 

1/ invention concerne egalement un decodeur 
susceptible de cooperer avec une ' pluralite de modules 
externes de securite pour gerer l'acces a des 
programmes audiovisuels distribues par un operateur, 
chague module externe de securite ayant un identifiant 
unigue et comportant au moins un algorithme de 
traitement de donnees . 

Le decodeur selon 1' invention comporte des 
moyens pour rnemoriser a la volee 1' identifiant de 
chague module externe de securite gui lui est connecte. 

Dans un premier mode de realisation, 
lesdits modules externes de securite sont des cartes de 
controle d'acces dans lesguelles sont memorisees des 
informations relatives aux droits d'acces d' un abonne a 
des donnees numerigues distributes par un operateur. 

Dans un deuxieme mode de realisation, 
lesdits modules externes de securite sont des 
interfaces de securite amovibles comportant une memoire 
non volatile et destinees a cooperer, d'une part, avec 
le decodeur, et d' autre part, avec une pluralite de 
cartes de controle d'acces conditionnel pour gerer 
l'acces a des donnees numerigues distributes par un 
operateur . 
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L' invention concerne egalement une 
interface de securite amovible comportant une memoire 
non volatile et destinee a cooperer, d' une part, avec 
un equipement recepteur, et d' autre part, avec une 
pluralite de cartes de controle d'acces conditionnel, 
pour gerer l'acces a des donnees numeriques distribuees 
par un operateur, chaque carte ayant un identifiant 
unique et comportant des informations relatives aux 
droits d' acces d' un abonne auxdites donnees numeriques. 

L' interface selon 1' invention comporte des 
moyens pour enregistrer a la volee 1 7 identifiant de 
chaque carte de controle d' acces dans ladite memoire 
non volatile. 

Dans une premiere variante, cette interface 
est une carte PCMCIA (pour Personal Computer Memory 
Card International Association) comportant un logiciel 
de desembrouillage de donnees numeriques. 

Dans une deuxieme variante, cette interface 
est un module logiciel qui peut etre execute soit dans 
1' equipement recepteur soit dans le module externe de 
securite . 

L r invention concerne en outre un programme 
d' ordinateur executable dans un equipement recepteur 
susceptible de cooperer avec une pluralite de modules 
externes de securite ayant chacun un identifiant unique 
et dans lesquels sont stockees des informations 
relatives aux droits d' acces d r un abonne a des donnees 
numeriques distribuees par un operateur. 

Ce programme d' ordinateur comporte des 
instructions pour memoriser a la volee 1' identifiant de 
chaque module externe de securite connecte audit 
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equipement recepteur et des instructions destinees a 
generer localement des parametres de controle de 
1' appariement de 1' equipement recepteur avec un module 
externe de securite en fonction d'une signalisation 
transmise audit equipement recepteur par l'operateur. 

Ce Programme d' ordinateur comporte en outre 
des instructions destinees a verifier, a chaque 
utilisation ulterieure d' un module externe de securite 
avec 1' equipement recepteur, si 1' identif iant dudit 
module externe de securite est memorise dans 
1 ' equipement recepteur . 

BREVE DESCRIPTION DES DESSINS 

D'autres caracteristiques et avantages de 
1' invention ressortiront de la description qui va 
suivre, prise a titre d'exemple non limitatif en 
reference aux figures annexees dans lesquelles : 

la figure 1 represente une premiere 
architecture pour la mise en ceuvre de 1 r appariement 
selon 1 ' invention , 

la figure 2 represente une deuxieme 
architecture pour la mise en ceuvre de 1' appariement 
selon 1' invention, 

- la figure 3 represente une troisieme 
architecture pour la mise en ceuvre de l r appariement 
selon 1' invention, 

~ la figure 4 represente la structure des 
messages EMM de configuration et d' utilisation des 
fonctionnalites d' appariement selon l f invention 

la figure 5 represente un diagramrne 
d'etat de la fonction d' appariement selon 1' invention, 
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- la figure 6 represente un organ! gramme 
illustrant un mode particulier de mise en ceuvre de 
1' appariement selon 1' invention. 

EXPOSE DETAILLE DE MODES DE REALISATION PARTICULIERS 

L' invention va maintenant etre decrite dans 
le cadre d'une application dans laquelle un operateur 
diffusant des programmes audiovisuels met en ceuvre le 
procede selon 17 invention pour limiter 1' utilisation de 
son pare d r equipements recepteurs a ses propres 
abonnes . 

Le procede peut etre mis en ceuvre dans 
trois architectures distinctes illustrees 

respectivement par les figures 1, 2 et 3 . Les elements 
identiques dans ces trois architectures seront- designes 
par des references identiques. 

La gestion de l'appariement est realisee a 
partir d'une plateforme commerciale 1 controlee par 
1 T operateur et communiquant avec l'equipement recepteur 
installe chez 1 T abonne . 

Dans la premiere architecture, illustree 
par la figure 1, l'equipement recepteur comporte un 
decodeur 2 dans lequel est installe un logiciel de 
controle d'acces 4, et le module externe de securite 
est une carte de controle d'acces 6 comportant des 
informations relatives aux droits d'acces d'un abonne 
aux programmes audiovisuels diffuses. Dans ce cas, 
l'appariement est effectue entre le decodeur 2 et 
ladite carte 6. 

Dans la deux i erne architecture illustree par 
la figure 2, l'equipement recepteur comporte un 
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decodeur 2, non dedie au controle d'acces, et le module 
externe de securite est une interface de securite 
amovible 8 munie d'une memoire non volatile et dans 
laquelle est installs le logiciel de controle d'acces 
4. Cette interface 8 coopere, d'une part, avec ledit 
decodeur 2, et d' autre part, avec une carte 6 parmi une 
pluralite de cartes de controle d'acces conditionnel , 
pour gerer 1' acces auxdits programmes audiovisuels . 

Dans cette architecture, 1' appariement est 
realise entre ladite interface de securite amovible 8 
et ladite carte de controle d'acces 6. 

Dans la troisieme architecture, illustre e 
par la figure 3, l'equipement recepteur comporte un 
decodeur 2 dans lequel est installe un logiciel de 
controle d'acces 4, ce decodeur 2 est connecte a une 
interface de securite amovible 8 ayant une memoire non 
volatile qui coopere avec une carte 6 parmi une 
pluralite de cartes de controle d'acces conditionnel. 

Dans ce cas, 1' appariement est effectue 
entre le decodeur 2 et 1' interface de securite amovible 
8. 

La configuration et 1 ' utilisation par 
l'operateur de 1' appariement resulte de commandes 
emises par la plateforme de gestion commerciale 1. 

La description qui suit concerne la mise en 
oeuvre de 1' invention dans le cas d' appariement d'un 
decodeur 2 avec une carte 6. Les etapes mises en ceuvre 
s'appliquent aux trois architectures decrites ci- 
dessus . 

A la sortie d'usine d'un decodeur 2, comme 
apres un telechargement du logiciel de controle d'acces 
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4 dans ce decodeur, tous les traitements de 
l'appariement sont inactif s . En particulier : 

- aucun identifiant de carte n' est memorise 
dans le decodeur 2, 

le nombre maximal d' identif iants de 
cartes memorisables n'est pas initialise, 

la memorisation par le decodeur 2 de 
1' identifiant d'une carte 6 n'est pas active, 

le controle par le decodeur 2 de 
1' identif iant d'une carte 6 n'est pas actif. 

Lorsqu'une carte valide est inseree dans le 
lecteur de carte prevu a cet effet dans le decodeur 2, 
1' appariement entre cette carte et le decodeur 2 peut 
alors etre configure par une requete de 1' opera teur sur 
la plateforme de gestion 1 qui emet vers le decodeur 2 
un message de gestion EMM dedie a 1' appariement . Ce 
message de gestion EMM est adresse directement au 
decodeur 2 ou indirectement via la carte 6 . Ce message 
de gestion EMM permet de realiser les taches 
suivantes : 

- activer dans le decodeur 2 la fonction 
d' appariement ; dans ce cas le decodeur 2 verifie si 
1' identifiant de la carte 6 fait partie des 
identif iants qu'il a memorises. Si ce n'est pas le cas, 
et si le nombre maximal d' identif iants de cartes 
memorisables n'est pas atteint, le decodeur memorise 
1' identif iant de cette carte., 

- desactiver dans le decodeur la fonction 
d' appariement . Dans ce cas le decodeur ne" controle pas 
et ne memorise pas 1' identif iant de la carte 6, 
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- effacer les identifiants de cartes deja 
memorises dans le decodeur. 

- definir le nombre maximal d' identifiants 
de cartes memorisables par le decodeur. 

En outre l'operateur peut emettre via la 
plateforme 1, un message EMM contenant une liste 
imposee des identifiants de cartes 6 appariees a un 
decodeur 2 . Un tel message est adresse au decodeur 2 
indirectement via la carte 6. 
ADRESSAGE DES MESSAGES EMM 

Les messages EMM permettant la 

configuration et 1 ' utilisation des f onctionnalites 
liees a 1 ' appariement selon le procede de 1' invention 
sont emis dans une voie EMM d'un multiplex numerique 
tel que defini par le standard MPEG2/Systeme et les 
standards DVB/ETSI . 

Cette voie peut diffuser des EMM 
referengant une adresse de carte (s) permettant de les 
destiner : 

- au decodeur dans lequel est inseree une 
carte particuliere, 

- aux decodeurs dans lesquels sont inserees 
les cartes cV un groupe particulier, 

- aux decodeurs dans lesquels sont inserees 
toutes les cartes . 

Ces EMM destines aux decodeurs « via la 
carte » sont utilises notamment quand les decodeurs ne 
disposent pas d / adresse. 

Cette voie peut diffuser egalement des EMM 
referengant une adresse de decodeur (s) permettant de 
les destiner directement : 
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- a un decodeur particulier, 

- a un groupe particulier de decodeurs, 

- a tous les decodeurs ; 



Les EMM directement destines a tous les 
decodeurs sont utilisables egalement quand les 
decodeurs ne disposent pas d'adresse. 

Les messages destines a un decodeur designe 
par une carte particuliere ou directement a un decodeur 
particulier sont des EMM-U presentant la structure 
suivante : 

EMM~U__section () { 

table_id = 0x88 8 bits 

section_syntax_indicator = 0 1 bit 
DVB__reserved 1 bit 

ISO^reserved 2 bits 

EMM-U_section__length 12 bits 

unique_adress_field 40 bits 

for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

1 



Le parametre unique_adress__f ield est 
1'adresse unique d'une carte dans un EMM-U carte ou 
l'adresse unique d'un decodeur dans un EMM-U decodeur 

Les messages destines a des decodeurs 
designes par un groupe particulier de cartes ou 
directement a un groupe particulier de decodeurs sont 
des EMM-S presentant la structure suivante : 
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EMM-S_section() { 

table_id = 0x8E g bits 

section_syntax_indicator =0 1 bit 
DVB_reserved 1 j-,^ t 

ISO_reserved 2 bits 

EMM-S_section_length 12 bits 

shared_address_fie,ld 2 4 bits 

reserved 6 b±ts 

data_f ormat 1 bit 

ADF_scrambling_flag 1 b it 

for (i=0; i<N; i++) { 

EMM_data_byte q b j_ ts 

} 

} 

Le parametre shared_adress__f ield est 
1'adresse du groupe de cartes dans un EMM-S carte ou 
l'adresse du groupe de decodeurs dans un EMM-s 
decodeur. Un decodeur d'un groupe ou une carte d'un 
groupe est concerne (e) par le message si en outre il 
(elle) est explicitement designe (e) dans un champ ADF 
contenu dans EMM_data_byte et pouvant etre chiffre 
selon 1' information ADF_scrambling_f lag. 

Les messages destines aux decodeurs 
designes par toutes les cartes ou directement a tous 
les decodeurs sont des EMM-G presentant la structure 
suivante : 
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EMM-G_section ( ) { 

table_id - 0x8A ou 0x8B 8 bits 
section_syntax_indicator =0 1 bit 

5 DVB_reserved 1 bit 

I SO__re served 2 bits 

EMM-G__section_length 12 bits 
for (i=0; i<N; { 

EMM_jdata_byte 8 bits 
10 } 

} 

CQNTENU PES MESSAGES EMM 

La figure 4 illustre schematiquement le 
15 contenu des donnees E MM_d a t a_b y t e d r un message EMM 
d' appariement * Ce contenu depend de la fonction a 
executer par le decodeur 2 pour la configuration ou 
1' utilisation de 1 ' appariement . 

Les donnees EMM_data__byte incluent les 
20 parametres fonctionnels suivants : 

- ADF 20: complement d'adressage d'un 
decodeur dans un groupe de decodeurs ; ce parametre est 
utile en cas d'adressage par groupe sinon il peut etre 
omis ; il peut etre chiffre, 

25 - SOID 22 : identification de messages 

d' appariement selon 1' invention, parmi d'autres types 
de messages, 

- OPID/NID 24 : identification du pare de 
decodeurs et du signal de l'operateur, 

30 - TIME 26 : donnees d'horodatage de 

1' emission du message ; ce parametre est utilise pour 
eviter le rejeu du message par un me me decodeur, 
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- CRYPTO 28 : identification des fonctions 
de protection cryptographique appliquees aux parametres 
FUNCTIONS 32. 

Les parametres FUNCTIONS peuvent etre 
chiffres et proteges par une redondance cryptographique 
30 . 

- FUNCTIONS 32 : ensemble des parametres 
decrivant la configuration et 1' utilisation de 
1' appariement . 

Les parametres fonctionnels ci-dessus sont 
organises librement dans les donnees EMM_data_byte d'un 
message EMM. Une implementation preferee est la 
combinaison de ces parametres par structure T L V (Type 
Longueur Valeur) . 

TRAITEMENT DES MESSAGES EMM 

Les parametres fonctionnels ci-dessus sont 
destines a etre traites par le decodeur 2. 

Quand ils sont transmis dans un EMM 
decodeur, ces parametres constituent le contenu utile 
de 1' EMM. 

Quand ils sont transmis dans un EMM carte, 
ces parametres constituent une partie, clairement 
identifiable par la carte, du contenu utile de l'EMM 
qui contient d'autres parametres concernant la carte. 
Cette derniere se charge alors d' extraire les 
.parametres fonctionnels qui le concernent de l'EMM et 
de les transmettre au decodeur 2. Une realisation 
preferee pour permettre ce mecanisme de tri consiste a 
integrer ces parametres fonctionnels dans un parametre 
d' encapsulation non traitable par la carte. Ainsi, a la 



1er depot 



21 



detection par la carte 6 de cette encapsulation,, la 
carte 6 envoie au decodeur 2 une reponse de type 
« Parametre Non Interpretable (PNI) » accompagnee de 
1/ ensemble des pararnetres du decodeur 2. 

La carte 6 regoit egalement un ordre date 
d' inscription de donnees via un EMM carte, permettant, 
d'une part, de s' assurer que la carte 6 n'a pas deja 
traite ce message dans un autre decodeur, afin d'eviter 
le rejeu sur un autre decodeur et, d' autre part, de 
limiter le traitement de cet EMM par un seul decodeur. 
Semantiquement ces donnees signifient « Deja traite ». 
Une realisation preferee de ce mecanisme d' anti-re jeu 
est 1' inscription de ces donnees d'anti-rejeu dans un 
bloc de donnees FAC (Facilities Data Block en anglais) 
de la carte. 

Si suite au traitement d'un EMM__carte 
crappariement la carte repond « PNI » et « Deja Traite» 
le decodeur 2 ne prend pas en compte les pararnetres 
qu'il regoit. 

CONFIGURATION ET UTILISATION DE L r APPARIEMEMT 

L' ensemble des pararnetres FUNCTIONS 32 
decrit la configuration et 1 ' utilisation de 
1'appariement selon 1 ' invention . Cet ensemble de 
pararnetres est une combinaison quelconque des 
pararnetres fonctionnels suivants : 

- MODE : ce parametre active, desactive ou 
reinitialise la solution d' appariement . Apres 
desactivation, le decodeur ne controle pas 
l'identifiant d'une carte inseree dans le decodeur mais 
conserve la liste des identifiants deja memorises, et 
apres reinitialisation, le decodeur ne controle pas 
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l r identifiant d / une carte inseree et n'a plus 
d' identif iant de cartes memorise. 

- NBCA (Nombre de cartes autorisees) : ce 
parametre impose le nombre maximal d' identif iants de 
cartes qu'un decodeur est autorise a memoriser ; quand 
il n'est pas renseigne, NBCA est defini par 
1' implementation du module logiciel dans le decodeur 
selon 1' invention 

- LCA (Liste de cartes autorisees) : ce 
parametre impose a un decodeur la liste des 
identifiants de cartes avec lesquelles il peut 
fonctionner. 

- Perturbation ; ce parametre decrit la 
perturbation a appliquer par le decodeur dans l'acces 
aux donnees en cas de carte non appariee avec le 
decodeur . 

Les parametres fonctionnels ci-dessus sont 
organises librement dans 1' ensemble de parametres 
FUNCTIONS 32. Une implementation preferee est la 
combinaison de ces parametres par structure T L V (Type 
Longueur Valeur) . 
FQNCT I QNNEMENT 

Le fonctionnement de 1' appariement selon 
1' invention va maintenant etre decrit par reference aux 
figures 5 et 6 . 

La figure 5 est un diagramme fonctionnel 
illustrant schema tiquement les etats de la fonction 
d' appariement du logiciel de controle d'acces 4 
embarque dans un decodeur 2 . 

La fonction d' appariement est dans 1'etat 
inactif SO quand le logiciel de controle d'acces 4 
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vient d'etre installe ou telecharge (etape 61) ou quand 
il a regu de la plateforme 1 un ordre de desactivation 
de l'appariement (etape 62) ou de reinitialisation de 
l'appariement (etape 64) . Dans cet etat le logiciel de 
controle d'acces 4 accepte de fonctionner avec une 
carte 6 inseree dans le decodeur 2 sans verifier son 
appariement avec cette carte. 

Pour effectuer 1' activation de 

l'appariement dans un decodeur 2, 1'operateur definit 
via la plateforme 1 un mode d' appariement (= actif ) , 
optionnellement le nombre maximum NBCA de cartes 6 
susceptifoles d'etre appariees avec le decodeur 2 et le 
type de perturbation applicable dans 1'acces aux 
donnees en cas d' echec de l'appariement. En fonction de 
ces informations la plateforme 1 genere et emet (fleche 
68) un message EMM adressant le ou les decodeurs 
concernes et contenant les parametres de configuration. 
La fonction d' appariement dans le decodeur passe a 
l'etat actif 70. 

L'operateur peut desactiver l'appariement 
dans le decodeur 2 r via la plateforme 1 qui genere et 
emet (fleche 72) un message EMM adressant le ou les 
decodeurs concernes et contenant un ordre de 
desactivation sans effacement du contexte d' appariement 
62 ou un ordre de RAZ du contexte d' appariement 64. La 
fonction d' appariement dans le decodeur passe a l'etat 
inactif 60. 

Quel que soit l'etat inactif ou actif de la 
fonction d' appariement , elle peut recevoir (etape 74) 
une liste de cartes autorisees LCA par EMM emise par la 
plateforme 1. 
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La prise en compte d'une carte 6 par la 
fonction d' appariement dans un decodeur 2 est decrite 
dans 1'organigramme de la figure 6. 

A 1' insertion (etape 80) d'une carte 6 dans 
le decodeur 2, le logiciel de controle d'acces 4 
embarque dans le decodeur teste (etape 82) si la 
fonction d' appariement est dans l'etat actif 70. 

Si la fonction d' appariement dans le 
decodeur est dans l'etat inactif 60, le decodeur 
accepte de fonctionner avec la carte inseree (etape 
92) . 

Si la fonction d' appariement dans le 
decodeur est dans l'etat actif 10, le logiciel de 
controle d'acces lit 1 ' identif iant de la carte et 
verifie (etape 84) si cet identif iant de la carte 
inseree est deja memorise dans le d6codeur 2. Si 
1' identif iant de cette carte 6 est deja memorise dans 
le decodeur 2, le logiciel de controle d'acces 4 
accepte de fonctionner avec la carte inseree ( etape 
92). Dans ce cas, l'acces aux programmes diffuses est 
alors possible, sous reserve de conformite des autres 
conditions d'acces attachees a ces programmes. 

Si 1' identif iant de cette carte 6 n'est pas 
memorise dans le decodeur 2 , le logiciel de controle 
d'acces verifie (etape 86) si le nombre d' identif iants 
de cartes 6 deja memorises est inferieur a la valeur 
maximum NBC A de cartes 6 autorisees par la 
configuration . 

• Si ce nombre NBCA est atteint, le logiciel de 
controle d'acces 4 refuse de fonctionner avec 
la carte 6 inseree dans le lecteur du decodeur 
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2, et applique (etape 90) la perturbation dans 
l'acces aux donnees telle que definie par 
l'operateur . Une telle perturbation peut 
consister a bloquer faeces aux programmes 
diffuses. Elle peut etre accompagnee de 
l'affichage sur l'ecran du terminal auquel est 
associe le decodeur 2 d'un message invitant 
rabonne a inserer une autre carte 6 dans le 
decodeur 2, 

• Si ce nombre NBC A n'est pas atteint, 
1' identifiant de la carte 6 inseree dans le 
lecteur du decodeur 2 est ajoute a la liste des 
identifiants memorises (etape 88). Le logiciel 
de controle d'acces 4 accepte ensuite de 
fonctionner avec la carte 6 inseree (etape 92) . 
Quand la carte 6 est extraite (etape 94) du 
decodeur 2 r le logiciel de controle d'acces 4 passe en 
attente de 1' insertion d'une carte 6 (etape 80). 

La perturbation 90 dans l'acces aux donnees 
en cas de defaut d f appariement peut etre de differente 
nature telle que par exemple : 

- Arret audio et video sur les chaines 
cryptees (obtenu par non soumission des ECM a la carte 
pour calcul des CW) ; 

- Arret audio et video sur les chaines en 
clair et analogiques (obtenu par message au 
middleware) ; 

- Envoi d'un message au middleware du 
terminal (exemple : message Open TV) . 

Cette perturbation peut etre utilisee 
egalement pour provoquer le blocage de decodeurs voles . 
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Dans le cas decrit dans la figure 2 ou le 
logiciel de controle d'acces 4 est execute dans 
I 7 interface axnovible 8 connectee a un decodeur 2, 
1' automate decrit dans la figure 4 et l r organigramme 
decrit dans la figure 5 s ' appliquent directement au 
logiciel de controle d'acces embarque 4 dans cette 
interface amovible 8. 
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RE VEND I CAT IONS 

1. Precede d/ appariement d'un equipement 
recepteur de donnees numeriques (2) avec une pluralite 
de modules externes de securite (6, 8} ayant chacun un 
identifiant unique, procede caracterise en ce qu' il 
comporte les etapes suivantes : 

- connecter un module externe de securite 
(6, 8) a I 7 equipement recepteur, 

- memoriser a la volee dans 1' equipement 
recepteur (2) 1' identifiant unique du module de 
securite (6, 8) connecte. 

2. Procede selon la revendication l r 
caracterise en ce qu' il comporte en outre une phase de 
controle consistant a verifier, a chaque connexion 
ulterieure d' un module externe de securite (6, 8) a 
1' equipement recepteur (2) , si 1 ' identifiant dudit 
module est memorise dans cet equipement recepteur (2) 

3. Procede selon la revendication 2, 
caracterise en ce qu'il comporte en outre une etape 
consistant a transmettre a 1' equipement recepteur (2) 
une signalisation comportant au moins un message de 
gestion de la memorisation de l r identifiant du module 
externe de securite (6, 8) et/ou un message de gestion 
de la phase de controle. 

4. Procede selon la revendication 3, 
caracterise en ce que ladite signalisation comporte au 
moins une des consignes suivantes : 

- autoriser la memorisation, 

- interdire la memorisation, 

- effacer les identifiants deja memorises 
dans 1' equipement recepteur (2), 
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activer on desactiver la phase de 

controle . 

5. Procede selon la revendication 3, 
caracterise en ce que ladite signalisation comporte en 
outre le nombre maximal d' identif iants dont la 
memorisation est autorisee. 

6. Procede selon la revendication 3, 
caracterise en ce que ladite signalisation comporte une 
consigne de reconfiguration par laquelle on transmet a 
1' equipement recepteur (2) une liste mise a jour des 
identif iants des modules externes de securite (6, 8) 
apparies avec ledit equipement recepteur (2) 

7. Procede selon la revendication 6, 
caracterise en ce que ladite liste est transmise 
directement a l'equipement recepteur (2). 

8. Procede selon la revendication 6, 
caracterise en ce que ladite liste est transmise via un 
module externe de securite (6, 8) connecte audit 
equipement recepteur (2) . 

9. Procede selon la revendication 2, dans 
lequel ladite phase de controle comporte une procedure 
consistant a perturber le traitement des donnees si 
1' identifiant du module externe de securite (6, 8) 
connecte n'est pas prealablement memorise l'equipement 
recepteur (2) . 

10. Procede selon la revendication 1, 
caracterise en ce que lesdites donnees sont distributes 
en clair ou embrouillees par un mot de controle 
chiffre, et en ce que chaque module externe de securite 
(6, 8) comporte des droits d'acces auxdites donnees et 
un algorithme de dechif f rement dudit mot de controle . 
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11. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un equipement recepteur (2) dans un message 
EMM specif ique a un module externe de securite (6, 8) 

5 associe a cet equipement recepteur (2) . 

12. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un equipement recepteur (2) dans un message 
EMM specif ique a cet equipement recepteur (2) . 

10 13. Procede selon la revendication 6, 

caracterise en ce que, pour un equipement recepteur (2) 
donne f ladite liste est transmise dans un message EMM 
specif ique a un module de securite (6, 8) associe a cet 
equipement recepteur (2) . 

15 14. Procede selon l'une des revendications 

4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un groupe d' equipements recepteurs (2) dans 
un message EMM specif ique a un groupe de modules 
externes de securite (6, 8) associes auxdits 

20 equipements recepteurs (2) . 

15. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un groupe d r equipements recepteurs (2) dans 
un message EMM specif ique audit groupe d' equipements 

25 recepteurs (2) . 

16. Procede selon la revendication 6, 
caracterise en ce que, pour un groupe d' equipements 
recepteurs (2) donne, ladite liste est transmise dans 
un message EMM specif ique a un groupe de modules 

30 externes de securite (6, 8) associees auxdits 
equipements recepteurs (2) . 
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17. Precede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation de 
controle est transmise dans un flux prive a un groupe 
d' equipements recepteurs (2). 

18. Precede selon la revendication 6, 
caracterise en ce que, pour un groupe d' equipements 
recepteurs (2) donne, ladite liste est transmise dans 
un flux prive a chaque equipement recepteur (2) . 

19. Procede selon l'nne des revendications 
17 ou 18, caracterise en ce que ledit flux prive est 
traite par un logiciel dedie executable dans chaque 
equipement recepteur (2) en fonction de 1' identif iant 
du module externe de securite (6, 8) qui lui est 
associe. 

20. Procede selon l'une des revendications : * 
11 a 16, caracterise en ce qu'il comporte en outre un 
mecanisme destine empecher 1' utilisation d'un EMM 
transmis a un meme module externe de securite (6, 8) >;*■ 
dans deux equipements recepteurs (2) distincts. 

21. Procede selon l'une des revendications 
11 a 13, caracterise en ce que ledit EMM presente le 
format suivant : 

EMM-U_section () { 

table__id = 0x88 8 bits 

section__syntax_indicator = 0 1 bit 
DVB_re served 1 bit 

ISO_reserved 2 bits 

EMM-U_section__length 12 bits 

unique_adress_f ield 40 bits 

for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

} 
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22. Procede selon I'une des revendications 
14 a 16, caracterise en ce que ledit EMM est specifique 
a tous les modules externes de securite {6, 8) ou a 
tous les equipements recepteurs (2) et presente le 
format suivant : 

EMM~G_section ( ) { 

table_id = 0x8A ou 0x8B 8 bits 

section_syntax_indicator =0 1 bit 
DVB^reserved 1 bit 

ISO^reserved 2 bits 

EMM-G_section__length 12 bits 

for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

} 

23. Procede selon l'une des revendications 
14 a 16, caracterise en ce que ledit EMM est specifique 
a un sous-groupe de modules externes de securite (6, 8) 
ou d' equipements recepteurs (2) et presente le format 



suivant 



EMM-S_section ( ) { 

table_id = 0x8E 8 bits 
section_jsyntax_indicator = 0 1 bit 

DVB_reserved i bit 

ISO__reserved 2 bits 

EMM-S_section_length 12 bits 

shared_address_f ield 2 4 bits 

reserved 6 bits 

data__f ormat i bit 

ADF__scrambling_f lag l bit 
for {i=0; i<N; i++) { 

EMM_data__byte 8 bits 

} 

} 
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24. Precede selon la revendication 1, 
caracterise en ce que les identif iants de modules 
externe de securite (6, 8) sont groupes dans une liste 
chif free . 

25. Procede selon l'une quelconque des 
revendications 1 a 24 , caracterise en ce que 
1' equipement recepteur (2) comporte un decodeur et le 
module externe de securite (6, 8) comporte une carte de 
controle d'acces (6) dans laquelle sont memorisees des 
informations relatives aux droits d'acces d'un abonne a 
des donnees numeriques distributes par un operateur, et 
en ce que 1 ' appariement est effectue entre ledit 
decodeur et ladite carte (6) . 

26. Procede selon l'une quelconque des 
revendications 1 a 24 r caracterise en ce que 
1' equipement recepteur (2) comporte un decodeur et le 
module externe de securite (6, 8) comporte une 
interface de securite amovible (8) munie d'une memoire 
non volatile et destinee a cooperer, d'une part, avec 
le decodeur, et d' autre part, avec une pluralite de 
cartes de controle (6) d'acces conditionnel pour gerer 
l'acces a des donnees numeriques distributes par un 
operateur, et en ce que l f appariement est effectue 
entre ledit decodeur et ladite interface (8) de 
securite amovible . 

27. Procede selon l'une quelconque des 
revendications 1 a 24, caracterise en ce que 
1' equipement recepteur (2) comporte un decodeur muni 
d'une interface de securite amovible (8) ayant une 
memoire non volatile et destinee a cooperer, d'une 
part, avec ledit decodeur, et d' autre part, avec une 
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pluralite de cartes de controle (6) d'acces 
conditionnel et en ce que 1 9 appariement est realise 
entre ladite interface de securite amovible (8) et 
lesdites cartes de controle d 7 acces (6) . 
5 28. Procede selon la revendication 10, 

caracterisee en ce que les donnees sont des programmes 
audiovisuels . 

29. Equipement recepteur (2) susceptible 
d'etre apparie avec une pluralite de modules externes 

10 de securite (6, 8) pour gerer 1'acces a des donnees 
numeriques distributes par un operateur, caracterise en 
ce qu' il comporte des moyens pour memoriser a la volee 
1' identif iant de chaque module externe de securite (6, 
8) qui lui est connecte. 

15 30. Equipement selon la revendication 29, 

caracterise en ce qu'il comporte un decodeur et en ce 
que le module externe de securite (6, 8) est une carte 
de controle d'acces (6) comportant des informations 
relatives aux droits d'acces d' un abonne auxdites 

20 donnees numeriques, 1' appariement etant effectue entre 
ledit decodeur et ladite carte (6) . 

31. Equipement selon la revendication 2 9, 
caracterise en ce qu'il comporte un decodeur et en ce 
que le module externe de securite (6, 8) est une 

25 interface de securite amovible (8) munie cV une memoire 
non volatile et destinee a cooperer, d' une part, avec 
ledit decodeur, et d' autre part, avec une pluralite de 
cartes de controle d'acces conditionnel (6), pour gerer 
l'acces auxdites donnees numeriques, 1' appariement 

30 etant effectue entre ledit decodeur et ladite interface 
de securite amovible (8) . 
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32. Equipement selon la revendication 29, 
caracterise en ce qu'il comporte un decodeur muni d'une 
interface de securite amovible (8) ayant une memoire 
non volatile et destinee a cooperer, d'une part, avec 
ledit decodeur, et d' autre part, avec une pluralite de 
cartes de controle (6) d r acces conditionnel et en ce 
que l'appariement est realise entre ladite interface de 
securite amovible (8) et lesdites cartes de controle 
d r acces (6) . 

33. Decodeur susceptible de cooperer avec 
une pluralite de modules externes de securite (6, 8) 
pour gerer 1' acces a des programmes audiovisuels 
distribues par un operateur, chaque module externe de 
securite (6, 8) ayant un identifiant unique et 
comportant au moins un algorithme de traitement de 
donnees, decodeur caracterise en ce qu'il comporte des 
moyens pour memoriser a la volee 1' identifiant de 
chaque module externe de securite (6, 8) qui lui est 
connecte . 

34. Decodeur selon la revendication 33, 
caracterise en ce que lesdits modules externes de 
securite (6, 8) sont des cartes de controle d' acces (6) 
dans lesquelles sont memorisees des informations 
relatives aux droits d' acces d'un abonne a des donnees 
numeriques distributes par un operateur . 

35. Decodeur selon la revendication 33, 
caracterise en ce que lesdits modules externes de 
securite (6, 8) sont des interfaces de securite 
amovibles (8) comportant une memoire non volatile et 
destinees a cooperer, d'une part, avec le decodeur, et 
d' autre part, avec une pluralite de cartes de controle 
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d'acces (6) conditionnel pour gerer l'acces a des 
donnees numeriques distribuees par un operateur . 

36. Interface de securite amovible (8) 
comportant une memoire non volatile et destinee a 
cooperer, d'une part, avec un equipement recepteur (2) , 
et d' autre part, avec une pluralite de cartes de 
controle d'acces (6) conditionnel, pour gerer l'acces a 
des donnees numeriques distribuees par un operateur, 
chaque carte (6) ayant un identifiant unique et 
comportant des informations relatives aux droits 
d'acces d'un abonne auxdites donnees numeriques, 
interface caracterisee en ce qu'elle comporte des 
moyens pour enregistrer a la volee 1' identifiant de 
chaque carte de controle d'acces (6) dans ladite 
memoire non volatile. 

37. Interface selon la revendication 3 6 
caracterisee en ce qu'elle consiste en une carte PCMCIA 
comportant un logiciel de desembrouillage de donnees 
numeriques . 

38. Interface selon la revendication 36 
caracterisee en ce qu'elle consiste en un module 
logiciel. 

39. Programme d'ordinateur executable dans 
un equipement recepteur (2) susceptible de cooperer 
avec une pluralite de modules externes de securite (6, 
8) ayant chacun un identifiant unique et dans lesquels 
sont stockees des informations relatives aux droits 
d'acces d'un abonne a des donnees numeriques 
distribuees par un operateur, caracterise en ce qu' il 
comporte des instructions pour memoriser a la volee 
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l / identif iant de chaque module externe de securite (6, 
8) connecte audit equipement recepteur (2) . 

40. Programme d'ordinateur selon la 
revendication 39, caracterise en ce qu'il comporte en 
outre des instructions destinees' a generer localement 
des pararnetres de controle de 1' appariement de 
1' equipement recepteur (2) avec un module externe de 
securite (6, 8) en fonction d'une signalisation 
transmise audit equipement recepteur (2) par 
l'operateur. 

41. Programme d'ordinateur selon la 
revendication 39, caracterise en ce qu'il comporte en 
outre des instructions destinees a verifier, a chaque 
utilisation ulterieure d'un module externe de securite 
(6' 3) avec 1' equipement recepteur (2), si 
1' identifiant dudit module externe de securite (6, 8) 
est memorise dans 1' equipement recepteur (2). 

42. Systeme comportant une pluralite 
d' equipements recepteurs (2) connectes a un reseau de 
diffusion de donnees et/ou services, chaque equipement 
recepteur (2) etant susceptible d'etre apparie avec une 
pluralite de modules externes de securite (6, 8), ledit 
systeme corriportant egalement une plateforme de gestion 
commerciale (1) communiquant avec les equipements 
recepteurs (2) et avec lesdits modules externes de 
securite (6, 8), caracterise en ce qu T il comporte en 
outre : 

- un premier module agence dans ladite 
plate-forme de gestion commerciale (1) et destine a 
generer des requetes d 1 appariement , 
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- et un deuxieme module agence dans lesdits 
equipements recepteurs (2) et destine a traiter 
lesdites requetes pour preparer une configuration de 
1 ' appariement et pour controler 1' appariement . 
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